teamviever :)

https://www.softether.org/

при решении с OpenVPN весь домашний исходящий трафик пойдет через OpenVPN-клиента в OpenVPN-сервер и только через него вовне... Я прав?

Нет. Так будет только между VPN-клиентами.

В голову приходит только поднять OpenVPN-сервер на имеющемся VPS

Да.

весь домашний исходящий трафик пойдет через OpenVPN-клиента

Как маршруты настроишь так и пойдет.

Собираюсь себе сделать также. Только с помощью wireguard и уже через него ssh до хаты.

Jopich1 ★ (09.04.2019 13:47:21)

https://www.softether.org/

Судя по описанию SoftEther VPN, «Dynamic DNS и NAT Traversal через бесплатный релей» решает в нем вопрос с серым IP.

Пошел разбираться, спасибо.

В голову приходит только поднять OpenVPN-сервер на имеющемся VPS

openvpn будет тормозить канал. Ставь ipsec или softether ( у них свой протокол )

я сделал так: Настроил TAP OpenVPN мостом в свою внутренню сеть на своем OpenWRT роутере по протоколу TCP и пробросил порт 1194 на VPS. Теперь при подключении к своему VPS по порту 1194 я оказываюсь в своей домашней сети. Также настроил еще два роутера как клиентов к своему VPN тоже мостом. Теперь в моей домашней сети также находятся клиенты двух удаленных роутеров

Кроме того, насколько я понимаю, при решении с OpenVPN весь домашний исходящий трафик пойдет через OpenVPN-клиента в OpenVPN-сервер и только через него вовне (а оно вообще не надо, надо только извне к дому организовать). Я прав?

нет

Не очень понял, проброс порта делался на роутере или на VPS?

Если на VPS, то откуда VPS знает куда его пробрасывать, если IP роутера серый?

Если на роутере, то откуда VPS вообще знает, что на него что-то проброшено?

openvpn будет тормозить канал

Канал-то с какого боку? Уже замучили безосновательные высказывания «ovpn тормоз». Да он однопоточный, да он юзерсейсный и если у вас железки слабые а нагрузка большая, может упереться в камень. Но в бытовом применении как у ТС вы разницы с ipsec не заметите. Я тут не раз уже приводил примеры тестов.

softether ( у них свой протокол )

Ну если быть точным то на текущий момент softether это комбайн в котором есть и свой протокол :)

Tor HS, если скорость не беспокоит.

Но в бытовом применении как у ТС вы разницы с ipsec не заметите

iperf явно показывает отличия не в пользу openvpn. Насчет «железки» - быть может, но например у микротыка ipsec поддерживается железом, а вот для openvpn такой железки нет кроме как мощного десктоп/сервер проца

iperf явно показывает отличия не в пользу openvpn.

Именно он самый и показывает, разницу «плюс минус километр», и тот же ipsec может показать меньшую производительность. Повторюсь, я даже тесты тут приводил.

но например у микротыка ipsec поддерживается железом

Хотелось бы услышать, что есть «поддерживается железом» в вашем понимании?
ЗЫ В соседней теме утверждали что он не поддерживает раздачу статик роутов для vpn. Совсем никакие. Врут?

а вот для openvpn такой железки нет кроме как мощного десктоп/сервер проца

Еще раз. Смотреть надо на нагрузку. И пиписеку тоже возможно надо не мало.

С роутера на VPS. man ssh port forwarding

Хотелось бы услышать, что есть «поддерживается железом» в вашем >понимании?

https://mikrotik.com/product/hex_s

IPsec hardware encryption (~470 Mbps)

Какая железка нужна для того чтобы openvpn работал со скоростью 470Mbps ?

Именно он самый и показывает, разницу «плюс минус километр», и тот же ipsec может показать меньшую производительность. Повторюсь, я даже тесты тут приводил.

Может. А может и нет.

hardware encryption

Вот! Правда не указан какой, а тут есть нюансы.

Какая железка нужна для того чтобы openvpn работал со скоростью 470Mbps ?

Секунду. Мы рассматриваем высокоскоростные каналы между точками? Или у вас 470Mbps в туннеле между вами и VDS ?

Какая железка нужна для того чтобы openvpn работал со скоростью 470Mbps ?

Послушайте, никто же не предлагает ставить openvpn на магистральные каналы. В случае автора темы наверняка обычное 100 Mb подключение. Плюс посмотрите на планируемое использование - время от времени получать доступ к файлам в домашней сетке. Т. е. загрузка канала ожидается минимальной.

Ну и потом, не знаю, как сейчас, а несколько лет назад ipsec было очень непросто настроить в ситуации, когда на одном конце серый IP за NAT.

Провайдер, пользуясь отсутствием в районе альтернатив, выкатил нечеловеческие цены за белый IP -

Надеюсь мобильная связь есть в вашем районе? _:) MTS белый IP около 100 руб/мес

А что по поводу ipv6/teredo? Вроде же NAT должен пробивать во многих случаях...

Кроме microsoft, есть всего пара релеев, связность не очень. По стабильности и скорости даже tor может быть лучше. Если ddns прикрутить, то может хватить для редких ssh подключений.

Насколько я понял домашняя файлопомойка же должна быть поднята 24/7 для это схемы?

Так?

ну если она не на роутере и не хочется держать ее включенной 24/7, то можно использовать Wake on Lan

Я за Nat ходил с помощью Hamachi(haguichi)

Ну и потом, не знаю, как сейчас, а несколько лет назад ipsec было очень непросто настроить в ситуации, когда на одном конце серый IP за NAT.

Та не, все робит, почти... :). «В целом по больнице», nat-t уже давно завезли (и фиг выпилишь, например у strongswan), а дальше как обычно с ipsec, возможны «нюансы» с реализацией на обеих сторонах. Пожалуй это можно назвать «проблемой» ipsec, но не использование его через nat. В рамках задачи ТС не думаю что возникнут проблемы.

Та не, все робит, почти... :).

Хорошо, если так. Я лет 8 назад так и не смог настроить FreeSwan в ситуации, когда на одной из сторон туннеля был серый адрес за NAT :(, пришлось через ssh туннель бросать. При этом с белыми адресами все работало...

tunnelbroker.net, дальше хочешь openvpn, хочешь ещё что-нибудь.

Кроме того некоторые провайдеры уже раздают ipv6 сами, так что проблема белого ИП может решиться и без костылей.

Самое простое решение - hamachi, ставишь на обе машины и подключайся с помощью VNC,RDP и т.д. можешь FTP поднять или SSH.

У *swan вообще пожизненная беда. В идеальном варианте вроде как работает, «но шаг влево, шаг вправо», мучайся. Однако благодаря тому что у ipsec вариантов больше одного, то можно найти обходной путь. Минус этого пути только в одном, каждый раз приходиться «изобретать велосипед» искать решение. Недавно только метод подбора между версиями stronswan помог.

reverse ssh tunneling

домашеий писюк с файлами подключается к ВПС , и ты подключаешься к ВПС , на порт который настроишь , и вуаля , ты подключился к домашнему писюку.
SFTP достаточно хорош для тебя ?

Ngrok когда-то советовали. Но на мипс для роутера не было пакетов. Только арм. https://sysadmin.pm/ngrok/

Подскажи пожалуйста

Сейчас есть микротик с обычным провайдерским ip В домашней сети за его натом , есть комп на винде, на котором крутится антивирусный сервак, раздающий nod32 базы моей родне и еще разным людям. Когда был внешний статический ip все хорошо работало, пробросил порт и ок.

Вопрос , как сейчас восстановить работу этой системы но с серым ip?

ddns. В большинстве современных роутеров такая функция из коробки

обычным провайдерским ip

Точно серый? Если ip белый, но динамический, то действительно, достаточно настроить ddns и обращаться по имени. А между серыми ты соединение не установишь без посредника с белым(vpn, тунели, распределенные сети, пробитие nat). Есть только гипотетическая возможность пробить nat без посредника, если он не случаен.

Есть только гипотетическая возможность пробить nat без посредника

Не пишите ерунду. Без посредника это невозможно.

Спасибо

А есть сервисы которые качествено и недорого этим белым посредниклм могут стать для моих целей. Дешевле 150р в месяц. Или не мутить воду а купить свой за 150в мес?

можно и бесплатно:

https://www.softether.org/4-docs/2-howto/6.VPN_Server_Behind_NAT_or_Firewall/2.VPN_Azure

Только смысл раздавать из дома антивирусные базы родне - нулевой.